Virus.Boot.PMBS

Класс Virus
Платформа Boot
Описание

Technical Details

Опасный резидентный загрузочный вирус. При загрузке с пораженного диска
копирует себя в расширенную память, переводит компьютер в защищенный режим
(если, конечно, это возможно) и запускает виртуальную машину (V86).
Загрузка DOS и выполнение приложений будет происходить уже на этой
виртуальной машине.
Вирус перехватывает все 256 прерываний (от 00h до FFh) и проверяет
критические ситуации. При критической ситуации чтения с флоппи-диска вирус
заражает его (винчестер поражается при загрузке с зараженного
флоппи-диска). При остальных критических ситуациях вирус выводит одно из
двух сообщений:

Unimplemented Interrupt:
Offending instructions:

General Protection Fault:
Offending instructions:
Offending CS:IP:

В вирусе также содержится строчка «PMBSVIRS».
Этот вирус является стелс-вирусом при доступе к винчестеру. Он
проверяет ввод/вывод в порты (используя особенности защищенного режима
процессора i386) и корректирует соответствующие данные.
Содержит несколько ошибок, включая принципиальные. Основная программистская
ошибкой — некорректное поражение флоппи-дисков. Вирус записывает на него
только ту свою часть, которая работает в реальном режиме. Часть, отвечающая
за обработку прерываний в защищенном режиме, не записывается на диск. При
загрузке с такой дискеты компьютер зависает.
Принципиальной ошибкой является то, что пораженную 386-ю машину можно
использовать только как PC-86, поскольку вирус переходит в режим
супервизора и не позволяет другим программам стать таким супервизором. Не
позволяет он также получить доступ к расширенной памяти. В результате такие
популярные программы, как EMS386, QEMM386, Windows не будут работать на
пораженном компьютере. Более того, зависание компьютера вызывает
стандартная DOS’овская программа MEM, поскольку она проверяет расширенную
память.